Problemas conocidos y limitaciones con los puntos de conexión nativos de la nube

Sugerencia

Al leer sobre los puntos de conexión nativos en la nube, verá los siguientes términos:

• Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
• Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
• Puntos de conexión nativos en la nube: puntos de conexión unidos a Azure AD. No están unidos a AD local.
• Carga de trabajo: cualquier programa, servicio o proceso.

Al usar o mover la administración de dispositivos locales a puntos de conexión nativos de nube, hay algunos escenarios que debe conocer. En este artículo se enumeran y describen algunos comportamientos, limitaciones y resoluciones modificados.

Los puntos de conexión nativos de la nube son dispositivos que están unidos a Microsoft Entra. En muchos casos, no requieren una conexión directa a ningún recurso local para su uso o administración. Para obtener información más específica, vaya a ¿Qué son los puntos de conexión nativos de la nube?

Esta característica se aplica a:

• Puntos de conexión nativos de nube de Windows

En este artículo, cuentas de ordenador y cuentas de máquina se usan indistintamente.

No usar la autenticación de máquina

Cuando un punto de conexión de Windows, como un dispositivo Windows 10/11, se une a un dominio de Active Directory local (AD), se crea automáticamente una cuenta de equipo. La cuenta de equipo o máquina se puede usar para autenticarse.

La autenticación de máquina se produce cuando:

• Se accede a recursos locales, como recursos compartidos de archivos, impresoras, aplicaciones y sitios web, mediante cuentas de equipo de AD locales en lugar de cuentas de usuario.
• Los administradores o desarrolladores de aplicaciones configuran el acceso a los recursos locales mediante cuentas de equipo en lugar de usuarios o grupos de usuarios.

Los puntos de conexión nativos de la nube se unen a Microsoft Entra y no existen en AD local. Los puntos de conexión nativos de la nube no admiten la autenticación de máquina de AD local. La configuración del acceso a recursos compartidos de archivos, aplicaciones o servicios locales usando solo cuentas de máquina de AD locales producirá un error en los puntos de conexión nativos de la nube.

Cambiar a la autenticación basada en usuario

• Al crear nuevos proyectos, no use la autenticación de máquina. No es una práctica común o recomendada, pero es algo que debe saber y tener en cuenta. En su lugar, use la autenticación basada en el usuario.
• Revise el entorno e identifique las aplicaciones y los servicios que actualmente usan la autenticación de máquina. Después, cambie el acceso a la autenticación basada en usuario o a la autenticación basada en cuentas de servicio.

Importante

La característica de escritura diferida de dispositivos Microsoft Entra Connect realiza un seguimiento de los dispositivos registrados en Microsoft Entra. Estos dispositivos se muestran en AD local como dispositivos registrados.

Microsoft Entra la escritura diferida del dispositivo Connect no crea cuentas de equipo de AD locales idénticas en el dominio de AD local. Estos dispositivos de escritura diferida no admiten la autenticación de máquina local.

Para obtener información sobre los escenarios admitidos con la escritura diferida de dispositivos, vaya a Microsoft Entra Conectar: Habilitar la escritura diferida de dispositivos.

Servicios comunes que usan cuentas de equipo

La lista siguiente incluye características y servicios comunes que pueden usar cuentas de equipo para autenticarse. También incluye recomendaciones si su organización usa estas características con autenticación de máquina.

• El acceso de almacenamiento de red produce un error con las cuentas de equipo. Los puntos de conexión nativos de la nube no pueden acceder a los recursos compartidos de archivos protegidos mediante cuentas de equipo. Si los permisos de ACL (lista de control de acceso) solo se asignan a cuentas de equipo o a grupos que incluyen solo cuentas de equipo, se producirá un error en la asignación de unidades con recursos compartidos de archivos o recursos compartidos de almacenamiento conectado a la red (NAS).

  Recomendación:

  • Servidor y recursos compartidos de archivos de estación de trabajo: actualice los permisos para usar la seguridad basada en cuentas de usuario. Cuando lo haga, use Microsoft Entra inicio de sesión único (SSO) para acceder a los recursos que usan la autenticación integrada de Windows.

    Mueva el contenido del recurso compartido de archivos a SharePoint Online o OneDrive. Para obtener información más específica, vaya a Migrar recursos compartidos de archivos a SharePoint y OneDrive.

  • Acceso raíz del Sistema de archivos de red (NFS): indique a los usuarios que accedan a carpetas específicas, no a la raíz. Si es posible, mueva el contenido de un NFS a SharePoint Online o OneDrive.

• Aplicaciones Win32 en Microsoft Entra puntos de conexión de Windows unidos:

  • No funcionará si las aplicaciones usan la autenticación de cuenta de equipo.
  • No funcionará si las aplicaciones acceden a recursos protegidos con grupos que solo incluyen cuentas de equipo.

  Recomendación:

  • Si las aplicaciones Win32 usan la autenticación de máquina, actualice la aplicación para que use Microsoft Entra autenticación. Para obtener más información, vaya a Migración de la autenticación de aplicaciones a Microsoft Entra.
  • Compruebe la autenticación y las identidades de las aplicaciones y los dispositivos de pantalla completa. Actualice la autenticación y las identidades para usar la seguridad basada en cuentas de usuario.

  Para más información, vaya a Autenticación y aplicaciones Win32.

• Las implementaciones de Servidores web IIS que restringen el acceso al sitio mediante permisos de ACL con solo cuentas de equipo o grupos de cuentas de equipo producirán un error. También se producirá un error en las estrategias de autenticación que limitan el acceso solo a cuentas de equipo o grupos de cuentas de equipo.

  Recomendación:

  • En los sitios web, habilite Negociar la autenticación.
  • Actualice las aplicaciones del servidor web para usar la autenticación Microsoft Entra. Para obtener más información, vaya a Migración de la autenticación de aplicaciones a Microsoft Entra.

  Más recursos:

  • Autenticación IIS <windowsAuthentication>
  • Autorización de seguridad IIS <authorization>

• La detección y administración de huellas estándar depende de la autenticación del equipo. En Microsoft Entra puntos de conexión de Windows unidos, los usuarios no pueden imprimir con la impresión estándar.

  Recomendación: use Impresión universal. Para obtener información más específica, vaya a ¿Qué es Impresión universal?

• Las tareas programadas de Windows que se ejecutan en el contexto del equipo en puntos de conexión nativos de nube no pueden acceder a los recursos de servidores y estaciones de trabajo remotos. El punto de conexión nativo de nube no tiene una cuenta en AD local y, por lo tanto, no se puede autenticar.

  Recomendación: configure las tareas programadas para que usen usuario con sesión iniciada u otra forma de autenticación basada en cuentas.

• Los scripts de inicio de sesión de Active Directory se asignan en las propiedades del usuario de AD local o se implementan mediante un objeto directiva de grupo (GPO). Estos scripts no están disponibles para los puntos de conexión nativos de nube.

  Recomendación: revise los scripts. Si hay un equivalente moderno, úselo en su lugar. Por ejemplo, si el script establece la unidad principal del usuario, puede mover la unidad principal de un usuario a OneDrive en su lugar. Si el script almacena el contenido de la carpeta compartida, migre el contenido de la carpeta compartida a SharePoint Online en su lugar.

  Si no hay un equivalente moderno, puede implementar scripts de Windows PowerShell mediante Microsoft Intune.

  Para más información, vaya a:

  • Añada scripts de PowerShell para dispositivos Windows 10/11 en Microsoft Intune
  • Introducción a OneDrive en Microsoft 365

directiva de grupo es posible que los objetos no se apliquen

Es posible que algunas de las directivas anteriores no estén disponibles o que no se apliquen a los puntos de conexión nativos de la nube.

Solución:

• Con directiva de grupo análisis en Intune, puede evaluar los objetos de directiva de grupo (GPO) existentes. El análisis muestra las directivas que están disponibles y las directivas que no están disponibles.

• En la administración de puntos de conexión, las directivas se implementan en usuarios y grupos. No se aplican en el orden de LSDOU. Este comportamiento es un cambio de mentalidad, así que asegúrese de que los usuarios y grupos están en orden.

  Para obtener información más específica e instrucciones sobre la asignación de directivas en Microsoft Intune, vaya a Asignar perfiles de usuario y dispositivo en Microsoft Intune.

• Realice un inventario de las directivas y determine lo que hacen. Puede encontrar categorías o agrupaciones, como directivas que se centran en la seguridad, directivas que se centran en el sistema operativo, etc.

  Puede crear una directiva de Intune que incluya la configuración de las categorías o agrupaciones. El Catálogo de configuración es un buen recurso.

• Esté preparado para crear nuevas directivas. Las características integradas de la administración moderna de puntos de conexión, como Microsoft Intune, pueden tener mejores opciones para crear e implementar directivas.

  La Guía de planeación de alto nivel para pasar a puntos de conexión nativos de la nube es un buen recurso.

• No migre todas las directivas. Recuerde que es posible que las directivas antiguas no tengan sentido con los puntos de conexión nativos de la nube.

  En lugar de hacer lo que siempre ha hecho, céntrese en lo que realmente quiere lograr.

Las cuentas de usuario sincronizadas no pueden completar el primer inicio de sesión

Las cuentas de usuario sincronizadas son usuarios de dominio de AD locales que se sincronizan con Microsoft Entra mediante Microsoft Entra Connect.

Actualmente, las cuentas de usuario sincronizadas con contraseñas que tienen El usuario debe cambiar la contraseña en el siguiente inicio de sesión configurado no pueden completar un inicio de sesión por primera vez en un punto de conexión nativo de nube.

Solución:

Use la sincronización de hash de contraseñas y Microsoft Entra conectar, lo que fuerza la sincronización del cambio de contraseña en el atributo de inicio de sesión.

Para obtener información más específica, vaya a Implementación de la sincronización de hash de contraseñas con la sincronización de Microsoft Entra Connect.

Siga las instrucciones sobre puntos de conexión nativos de la nube

1. Información general: ¿qué son los puntos de conexión nativos de la nube?
2. Tutorial: Introducción a los puntos de conexión de Windows nativos en la nube
3. Concepto: Microsoft Entra unidos frente a Microsoft Entra híbridos unidos
4. Concepto: puntos de conexión nativos en la nube y recursos locales
5. Guía de planeación de alto nivel
6. 🡺 Problemas conocidos e información importante (está aquí)